Cloud-Dienste erfreuen sich nicht ohne Grund so grosser Beliebtheit. Das «Software as a Service»-Modell bietet zahlreiche Vorzüge. Doch es gibt eine Kehrseite. Was Sicherheit, Datenschutz und Rechtskonformität betrifft, haben selbstgehostete Lösungen die Nase vorn. Welche Risiken gewisse Cloud-Dienste im Messaging-Bereich bergen und was absolute Datensouveränität bedeutet, beleuchten wir in diesem Blogbeitrag.
Für die Verarbeitung und Speicherung von Daten sind Cloud-basierte Dienste bei Unternehmen hoch im Kurs. Solche «Software as a Service»-Lösungen (SaaS), die auf externen Servern laufen, sind kosteneffizient und skalierbar. Zudem sind sie in der Regel in Rekordzeit aufgesetzt, und der Anbieter kümmert sich um Updates und Wartung, was wiederum die interne IT-Abteilung entlastet und finanzielle sowie personelle Ressourcen schont.
SaaS-Lösungen können jedoch auch einen Gefahrenherd darstellen. Während sie Unternehmen den Zugang zu Software erheblich erleichtern, sind sie vor Cyberkriminalität nicht gefeit: Um Cyberattacken und Datendiebstahl vorzubeugen, sollten Ende-zu-Ende-Verschlüsselung, felsenfeste Sicherheitsprotokolle sowie eine strikte Verwaltung der Zugriffsrechte von Benutzern heute zum Standard-Repertoire jeder SaaS-Lösung gehören. Gleichzeitig spielt auch die Wahl eines vertrauenswürdigen Anbieters eine nicht zu unterschätzende Rolle, denn der Schutz der Daten geht weit über die technischen Aspekte hinaus: Wo genau befinden sich Geschäftssitz und Server des Anbieters, und welcher Gerichtsbarkeit unterstehen sie? Werden Metadaten gesammelt und möglicherweise an Drittparteien weitergegeben? Können sich Behörden Zugang zu sensiblen Unternehmensdaten verschaffen?
Die Rolle der rechtlichen Rahmenbedingungen
In der EU sind Verarbeitung und Speicherung personenbezogener Daten in Unternehmen durch die Datenschutz-Grundverordnung (DSGVO) geregelt. Das Schweizer Äquivalent dazu ist das Datenschutzgesetz (DSG). Allerdings besteht die Möglichkeit, dass sich die Server oder «Backup-Facilities» eines SaaS-Anbieters in einem Land befinden, wo sie anderen, der DSGVO oder dem DSG nicht ebenbürtigen gesetzlichen Rahmenbedingungen unterliegen.
Ein Serverstandort in einem Land ohne moderne Datenschutzgesetze wie die DSGVO oder das DSG kann etwa bedeuten, dass Metadaten von Unternehmen systematisch gesammelt und weitergegeben werden dürfen. Bei Messenger-Apps enthalten Metadaten u.U. Informationen über Zeitpunkt und Dauer der Kommunikation, Standort der Gesprächspartner sowie deren Telefonnummern. Unabhängig vom Server-Standort ist zudem zu beachten, dass rund zwei Drittel der europäischen Cloud-Dienste von Anbietern mit Sitz in den USA verwaltet werden. Dank des «Trans-Atlantic Data Privacy Framework» ist der Datentransfer in die USA gemäss DSGVO und DSG im Moment zulässig – wie lange dieses Abkommen jedoch noch Bestand hat, bleibt offen.Das «Trans-Atlantic Data Privacy Framework» beruht auf einer Executive Order des US-Präsidenten, ist also nicht durch ein Gesetz des US-Kongresses abgesichert und könnte in Zukunft entweder durch geänderte Verhältnisse in der US-Regierung oder einen Entscheid des Europäischen Gerichtshofes (EuGH) gekippt werden. Zudem erlauben Gesetze wie der CLOUD Act und der «Foreign Intelligence Surveillance Act (FISA)» amerikanischen Behörden weiterhin, jederzeit bei US-Cloud-Diensten gespeicherte Daten einzusehen, selbst wenn sich die Server ausserhalb den USA befinden.
Bei einer SaaS-Lösung sollten also nicht nur die technischen Sicherheitsaspekte, sondern auch die rechtlichen Kriterien in Bezug auf den Datenschutz genau geprüft werden. Ansonsten laufen Unternehmen Gefahr, gegen geltende Gesetzesbestimmungen wie die DSGVO zu verstossen. Für Organisationen, die solche Risiken von vornherein ausschliessen wollen, kann ein ganz anderer Ansatz radikale Abhilfe schaffen: Self-Hosting.
Datensouveränität dank Self-Hosting
Der Umgang mit sensiblen und persönlichen Daten führt unweigerlich zu einem Bedarf an Datensouveränität, denn solche Informationen sind an die Datenschutzgesetze und Governance-Strukturen eines Landes, einer Branche oder eines Unternehmens gebunden.
Gerade für Unternehmen sind die Anforderungen bei der Speicherung und Verwaltung von Daten zunehmend komplex. Spätestens seit DORA, NIS2 und CER liegt die Verantwortung für den Schutz der Daten beim Management, und somit ist es für die Führungsebene von entscheidender Bedeutung, sich eingehend mit Cyber-Resilienz und Datensouveränität auseinanderzusetzen.
Anders als bei SaaS-Lösungen verlassen sich Unternehmen beim Self-Hosting ausschliesslich auf eigene Server. Das garantiert nicht nur den physischen Besitz der Daten, sondern auch die Fähigkeit, zu bestimmen, wo und wie Daten gesammelt, gespeichert, verwaltet und verwendet werden. Durch die Unabhängigkeit von Drittparteien wird der Datenaustausch reduziert, wodurch sich auch das Datenverlust-Risiko verringert. Self-Hosting bedeutet also nicht nur maximale Sicherheit, sondern auch Datensouveränität, d.h. die alleinige Kontrolle über Zugang, Nutzung und Sicherheit der Daten.
Datensouveränität und Instant Messaging
Der moderne Arbeitsalltag ist von konstantem Informationsfluss geprägt, wobei Messaging-Apps eine nicht zu unterschätzende Rolle spielen: Sie ermöglichen unkomplizierten und effizienten Austausch von Informationen und Dokumenten, erleichtern die Zusammenarbeit von Mitarbeitern und beschleunigen Arbeitsabläufe. Es überrascht daher nicht, dass trotz bestehender Kollaborationslösung ein erheblicher Anteil der beruflichen Kommunikation über private Chat-Apps stattfindet. Diese gehören jedoch zu den risikoreichsten Kanälen: Gemäss Kaspersky werden rund 90% der Phishing-Versuche über WhatsApp gestartet. Eine selbstgehostete bzw. unabhängige Chat-Umgebung kann daher entscheidend zur Cybersicherheit beitragen. Threema hat dafür eine Lösung für Unternehmen mit höchsten Sicherheitsansprüchen entwickelt: Threema OnPrem.
Oft wird bei Business-Messaging-Apps übersehen, dass zentral verwaltete Funktionen für die Nutzerverwaltung und Administration eine Menge schützenswerte Informationen über die Nutzer enthalten (z.B. Namen, Position etc.). Während diese bei einer SaaS-Lösung auf dem Server des Betreibers liegen, erhalten Unternehmen bei selbstgehosteten Lösungen wie Threema OnPrem volle Kontrolle und Datenhoheit darüber. So stellen Firmen sicher, dass niemand ausser den befugten Personen Zugriff auf die sensiblen Daten hat. Das Management-Cockpit von Threema OnPrem ermöglicht Organisationen, Lizenzen und Benutzerkonten zu verwalten, Sicherheits- und Compliance-Vorgaben zu forcieren, Nutzungsstatistiken einzusehen und Berechtigungen einzuschränken. So können z.B. Mitarbeiter, die das Unternehmen verlassen haben, schnell deaktiviert und aus Chat-Gruppen entfernt werden, damit sie nicht weiterhin vertrauliche Geschäftsdaten erhalten.
Threema OnPrem richtet sich in erster Linie an öffentliche Verwaltungen, Behörden (z.B. Armee und Polizei) sowie Organisationen in kritischen Sektoren, wo höchste Datensicherheit unter NIS2 Pflicht ist (z.B. Gesundheitswesen). Der Business-Messenger lässt sich direkt über das Management-Cockpit oder ein EMM-/MDM-System verteilen und bequem an ein zentrales Nutzerverzeichnis wie Active Directory anbinden. Sollten die fachlichen und zeitlichen Ressourcen fehlen, steht Kunden auch ein breites Netzwerk an Full-Service-Providern zur Seite.